Решена Проблемы с перегревом и вирусом: что делать дальше?

[x4tream]

Начались проблемы с перегревом цп и гпу. Вирус прекращал работу когда открывал диспетчер задач, не давал установить антивирус и зайти на форумы, также создалась учетная запись John. По форумам прочитал что нужно делать в первую очередь, скачал в безопасном режиме Av block remover, запустил(только при запуске забыл сделать это от имени администратора, так что после этого в нормальном режиме запустил еще раз от админа, на всякий случай, поэтому два лога). После этого ничего не делал. Все проблемы с перегревом прекратились, на все сайты пускает. Теперь мне нужна помощь что делать дальше, ничего подозрительного в системе не происходит даже после нескольких перезапусков, но хотелось бы убедиться что ничего не осталось. Два лога с двух прогонов av block remover и архив с AutoLogger.

 

[akok]

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger (Файл - Выполнить скрипт):

  begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(True);
  end;
QuarantineFile('C:\Programdata\ReaItekHD\taskhost.exe','');
 QuarantineFile('C:\Programdata\ReaItekHD\taskhostw.exe','');
 QuarantineFile('C:\ProgramData\Microsoft\NetFramework\sgDqIet4t2Apt\MasterDataL.bat','');
 DeleteFile('C:\ProgramData\Microsoft\NetFramework\sgDqIet4t2Apt\MasterDataL.bat','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhostw.exe','64');
 DeleteFile('C:\Programdata\ReaItekHD\taskhost.exe','64');
   BC_Activate;
  ExecuteSysClean;
  ExecuteWizard('SCU', 2, 3, true);
 BC_ImportALL;
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[x4tream]

Все готово

 

[akok]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  2023-09-10 04:13 - 2023-09-10 04:13 - 000000000 __SHD C:\Users\vsumr\AppData\Roaming\Sysfiles
  2023-09-10 04:13 - 2023-09-10 04:13 - 000000000 __SHD C:\ProgramData\princeton-produce
  HKU\S-1-5-21-1546161206-3474194286-3029536940-1001\...\ChromeHTML: ->  <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\DP45977C.lfl:677104FCAA [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Access.lnk:A1B76439FE [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Photoshop 2023.lnk:4A503CCB3B [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk:8096E45125 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Edge.lnk:E77773B271 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Notepad++.lnk:159ADC9AA1 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerPoint.lnk:1DC1525F34 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio 2019.lnk:7A8AE192A6 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [2594]
  AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [2594]
  AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [10064]
  AlternateDataStreams: C:\Users\vsumr\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  AlternateDataStreams: C:\Users\vsumr\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[x4tream]

Сделано

 

[akok]

Что из исключений сами добавляли?
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
"E:\Downloads\Office2013.2021C2RInstallInstallLite7.4.5.s.taiwebs.com\Office 2013-2021 C2R Install - Install Lite 7.4.5\OInstall_x64.exe"="0"
"E:\Downloads\Office2013.2021C2RInstallInstallLite7.4.5.s.taiwebs.com\Office 2013-2021 C2R Install - Install Lite 7.4.5\files"="0"
"E:\Downloads\kmsauto-portable-v1_5_7\KMSAuto++.exe"="0"
"E:\Downloads\kmsauto-portable-v1_5_7\KMSAuto_Files"="0"
"C:\Windows\System32\SppExtComObjPatcher.exe"="0"
"C:\Windows\System32\SppExtComObjHook.dll"="0"
"E:\Programms\kmsauto-portable-v1_5_7\KMSAuto++.exe"="0"
"E:\Programms\kmsauto-portable-v1_5_7\KMSAuto_Files"="0"

 

[regist]

+ Включите Как включить/отключить защиту от подделки в Microsoft Defender: пошаговое руководство

 

[x4tream]

Что из исключений сами добавляли?
[HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths]
"E:\Downloads\Office2013.2021C2RInstallInstallLite7.4.5.s.taiwebs.com\Office 2013-2021 C2R Install - Install Lite 7.4.5\OInstall_x64.exe"="0"
"E:\Downloads\Office2013.2021C2RInstallInstallLite7.4.5.s.taiwebs.com\Office 2013-2021 C2R Install - Install Lite 7.4.5\files"="0"
"E:\Downloads\kmsauto-portable-v1_5_7\KMSAuto++.exe"="0"
"E:\Downloads\kmsauto-portable-v1_5_7\KMSAuto_Files"="0"
"C:\Windows\System32\SppExtComObjPatcher.exe"="0"
"C:\Windows\System32\SppExtComObjHook.dll"="0"
"E:\Programms\kmsauto-portable-v1_5_7\KMSAuto++.exe"="0"
"E:\Programms\kmsauto-portable-v1_5_7\KMSAuto_Files"="0"

Всё кроме строк:
"C:\Windows\System32\SppExtComObjPatcher.exe"="0"
"C:\Windows\System32\SppExtComObjHook.dll"="0"

 

[thyrex]

Думаю, что это тоже запчасти от активатора

 

[akok]

Раз запчасти от активатора, то что с симптомами майнера?

 

[x4tream]

Раз запчасти от активатора, то что с симптомами майнера?

Ни одного симптома по моим наблюдениям не осталось

 

[akok]

Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки

 

[x4tream]

Удалил

 

[akok]

Исправьте по возможности и удачи

------------------------------- [ Windows ] -------------------------------
Запрос на повышение прав для администраторов отключен
Запрос на повышение прав для обычных пользователей отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.5.4 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9007 Внимание! Скачать обновления
Telegram Desktop v.4.9.2 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.6.0.46896 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u381-windows-x64.exe - Windows Offline (64-bit))^
-------------------------------- [ Media ] --------------------------------
VLC media player v.3.0.17.4 Внимание! Скачать обновления

 

[x4tream]

Большое спасибо за работу!